인증(MFA) 트렌드, FIDO2가 대세… "안전한 IT 사회가 될 것"

사진제공= Yubico

지능적인 해킹사례가 증가하며 추가인증(MFA) 트렌드가 인증보안 시장의 대세로 자리매김하고 있는 가운데 마이크로소프트와 Yubico가 FIDO2라는 이름으로 발표한 차세대 인증 스탠다드가 주목 받고 있다.

FIDO2는 지난 2013년 인터넷 사용자들이 수많은 사용자ID와 패스워드를 만들고 기억하는 데 따르는 불편함과 위험의 문제를 해결하기 위해 만들어진 ‘FIDO Alliance’를 시작으로 지금의 단계에 이르렀다.

모바일 기기의 지문, 안면, 홍채 인식을 이용하여 사용자를 안전하고 손쉽게 원하는 서비스에 인증 할 수 있게 해주는 UAF(Universal Authentication Framework)와 사용자ID와 패스워드로 일차 인증이 끝난 후 보안키/토큰을 이용하여 추가 인증을 하여 원하는 서비스에 안전하게 인증할 수 있게 해주는 방식인 U2F(Universal 2nd Factor)라는 두 가지의 프로토콜을 제공하는 FIDO는, 2018년 4월 마이크로소프트와 Yubico를 통해 FIDO2라는 차세대 인증 스탠다드로 발전했다.

차세대 인증 솔루션으로 부각되고 있는 FIDO2는 생체 또는 보안 키 등을 사용하여 서비스에 접근할 때, 사용자ID나 패스워드 없이 사용자 인증을 진행할 수 있다. 흔히 문제가 되고 있는 사용자 계정 탈취를 막아버릴 수 있는 가장 좋은 인증 방법이다.

Yubico는 U2F에서 시작되었던 보안키에 사용자 인증 정보를 복제할 수 없게 저장하고, 인증이 필요할 때만 개인키를 이용하여 서버에 공개키를 전달하여 사용자를 식별하고 인증할 수 있도록 했다. 특히 추가적인 보안 요소로 인증을 요구하는 서비스에서 서버ID 등도 확인이 되어야만 키 교환이 이루어지기 때문에 피싱이나 MITM과 같은 공격에도 강하다.

2018년 11월부터 마이크로소프트는 SaaS 환경에서 Passwordless 로그인을 지원하고 있으며, 앞으로 AD환경에서도 PC 로그인을 FIDO2로 지원할 계획이다.

Yubico는 FIDO의 U2F와 FIDO2 프로토콜의 공동저자로 현재 Google, Amazon, Facebook, Salesforce 같은 해외 최고 기업들이 내부 직원 인증용으로 보안키를 사용 중이다. 또 미국 연방 규격인 FIPS를 지원하는 키들은 미국 주요 국가 기관들에 사용되고 있다. 오랜 세월 인증 장치에 대한 노하우를 가지고 있는 Yubico는 스웨덴과 미국에서 보안키들을 생산하고 있어 믿고 사용할 수 있으며 군인들이 전쟁터에서 노트북 인증에 사용할 정도로 튼튼한 내구성까지 갖췄다.

Yubico 한국총판 ㈜에어큐브 장윤주 부사장은 "FIDO는 이제 온라인 기반의 인증에서는 빼놓을 수 없는 인증 표준으로 자리 잡아가고 있다"면서 "앞으로 컴퓨터 사용자들이 보안에 대한 걱정보다는 믿고 인증할 수 있는 안전한 IT사회가 올 것이라고 기대하고 있다"고 설명했다.

동아닷컴 김동석 기자 kimgiza@donga.com